Reach

Grow

Manage

Automate

Reach

Grow

Manage

Automate

为什么认证只是您云安全计划的一部分

史蒂文·穆雷

2017年7月5日

电子邮件

1 min read

为什么认证只是您云安全计划的一部分

史蒂文·穆雷

2017年7月5日

电子邮件

1 min read

为什么认证只是您云安全计划的一部分

人们经常问我,一个好的安全计划是什么。我多么想指出我的安全外围中的一个方面来用作例子,但有多个项目需要突出。

Attestations 并不总是衡量您的防御姿态

根据定义,认证是表明某事显而易见的指示。在安全的情况下,特别是安全程序,这意味着以官方身份进行认证。

人们经常问我,是什么成就了一个好的安全程序。尽管我希望能指出安全防护中的某一方面来作为例子,但有多个项目需要强调。行业依靠认证和证书来衡量你的安全防御。工程师和操作人员会告诉你,实际的安全防御范围和威胁评估能力定义了你的安全程序。我会告诉你,符合标准按测量,以及你的安全团队的操作能力都定义了你的程序。虽然仅仅靠认证并不是准确衡量程序的基准。

认证是行业必须确保遵守联邦、地方和州法规以及行业最佳实践所需的。ISO、NIST或DoD标准构成了大多数认证的基线。例如,NIST发布了一系列标准和技术指南,以帮助组织建立“被政府接受”的防御体系。不过,正如我将概述的那样,尽管设定了标准,但实施并不总是出色的。

部署一个工具不意味着它正在提供价值

控制措施允许在实施和运营增长及创新方面具有灵活性。不幸的是,一些组织利用这种灵活性来应付差事,但实际上并没有真正的防御措施。

一个这样的典型问题例子是入侵检测/防御系统(IDS 或 IPS)。像病毒扫描器一样,大多数组织出于标准安全实践的考虑,投资于 IDS/IPS 以防范恶意流量和数据泄露。行业中充斥着各种形式 IDS/IPS 系统的供应商。然而,一些组织选择构建系统而不是购买。

我最近离开了一个这样的组织,他们从开源工具中“构建”了自己的入侵检测系统。审计人员被告知该系统是一个“非常好的工具”,甚至还提供了流量的例子。但当我更深入地研究该工具提供的遥测数据时,我意识到流量根本没有被分析。实际上,它是通过传感器传递的,因为没有配置为捕获任何流量或发出警报。此外,用于管理该工具的凭证是由一名已离职员工设置的,并且在他离开后从未更新过。因此,实际上,这个工具已经闲置数月,未有任何人工干预。这不仅使公司面临风险,还危及了周边安全。

精明的审计员不会发现这个问题,因为认证书不会查找所有系统的“操作”信息——该标准实际上只是一个问题和答案的层次。事实上,大多数认证仅仅衡量工具是否存在,而不是操作可行性。此外,大多数审计员在技术上不足以分辨功能性 IDS/IPS 和非功能性 IDS/IPS。审计的核心依赖于公司展示其最佳状态,而不是回答棘手的问题。审计人员在审计期间还需要检查广泛的控制措施,因此时间是影响其分析质量的重要因素。

仅凭认证会告诉你公司有成熟的安全程序和控制措施。要求潜在合作伙伴填写供应商调查表也不会让你有信心。调查仅用不同的格式概述相同的信息。那么,你如何评估成熟的安全程序?

控制措施允许在实施和运营增长及创新方面具有灵活性。不幸的是,一些组织利用这种灵活性来应付差事,但实际上并没有真正的防御措施。

一个这样的典型问题例子是入侵检测/防御系统(IDS 或 IPS)。像病毒扫描器一样,大多数组织出于标准安全实践的考虑,投资于 IDS/IPS 以防范恶意流量和数据泄露。行业中充斥着各种形式 IDS/IPS 系统的供应商。然而,一些组织选择构建系统而不是购买。

我最近离开了一个这样的组织,他们从开源工具中“构建”了自己的入侵检测系统。审计人员被告知该系统是一个“非常好的工具”,甚至还提供了流量的例子。但当我更深入地研究该工具提供的遥测数据时,我意识到流量根本没有被分析。实际上,它是通过传感器传递的,因为没有配置为捕获任何流量或发出警报。此外,用于管理该工具的凭证是由一名已离职员工设置的,并且在他离开后从未更新过。因此,实际上,这个工具已经闲置数月,未有任何人工干预。这不仅使公司面临风险,还危及了周边安全。

精明的审计员不会发现这个问题,因为认证书不会查找所有系统的“操作”信息——该标准实际上只是一个问题和答案的层次。事实上,大多数认证仅仅衡量工具是否存在,而不是操作可行性。此外,大多数审计员在技术上不足以分辨功能性 IDS/IPS 和非功能性 IDS/IPS。审计的核心依赖于公司展示其最佳状态,而不是回答棘手的问题。审计人员在审计期间还需要检查广泛的控制措施,因此时间是影响其分析质量的重要因素。

仅凭认证会告诉你公司有成熟的安全程序和控制措施。要求潜在合作伙伴填写供应商调查表也不会让你有信心。调查仅用不同的格式概述相同的信息。那么,你如何评估成熟的安全程序?

控制措施允许在实施和运营增长及创新方面具有灵活性。不幸的是,一些组织利用这种灵活性来应付差事,但实际上并没有真正的防御措施。

一个这样的典型问题例子是入侵检测/防御系统(IDS 或 IPS)。像病毒扫描器一样,大多数组织出于标准安全实践的考虑,投资于 IDS/IPS 以防范恶意流量和数据泄露。行业中充斥着各种形式 IDS/IPS 系统的供应商。然而,一些组织选择构建系统而不是购买。

我最近离开了一个这样的组织,他们从开源工具中“构建”了自己的入侵检测系统。审计人员被告知该系统是一个“非常好的工具”,甚至还提供了流量的例子。但当我更深入地研究该工具提供的遥测数据时,我意识到流量根本没有被分析。实际上,它是通过传感器传递的,因为没有配置为捕获任何流量或发出警报。此外,用于管理该工具的凭证是由一名已离职员工设置的,并且在他离开后从未更新过。因此,实际上,这个工具已经闲置数月,未有任何人工干预。这不仅使公司面临风险,还危及了周边安全。

精明的审计员不会发现这个问题,因为认证书不会查找所有系统的“操作”信息——该标准实际上只是一个问题和答案的层次。事实上,大多数认证仅仅衡量工具是否存在,而不是操作可行性。此外,大多数审计员在技术上不足以分辨功能性 IDS/IPS 和非功能性 IDS/IPS。审计的核心依赖于公司展示其最佳状态,而不是回答棘手的问题。审计人员在审计期间还需要检查广泛的控制措施,因此时间是影响其分析质量的重要因素。

仅凭认证会告诉你公司有成熟的安全程序和控制措施。要求潜在合作伙伴填写供应商调查表也不会让你有信心。调查仅用不同的格式概述相同的信息。那么,你如何评估成熟的安全程序?

评估整个Cloud Security Program

首先,你至少应该查看声明和调查报告,而不是执行摘要。这将为您提供由第三方审查的程序概述。此外,全面的安全程序应包含强有力的数据保护策略,例如数据库备份和恢复程序,以确保在安全事件期间的业务连续性和数据完整性。其次,你绝对应该查看公司是否进行第三方渗透测试或漏洞奖励计划。个人而言,我不喜欢漏洞奖励计划,但我喜欢每年进行第三方渗透测试。渗透测试为您提供了防御结构测试和关于漏洞的真实反馈。最后,查看公司用于实施基础的安全文件(通常是目录)。这包括(但肯定不限于)安全政策、事件响应和漏洞管理。经验丰富的安全团队将提供共享这些文档和文物作为正常业务的一部分。

我总是从公司数据访问的角度评估每个供应商和合作伙伴。这意味着,如果合作伙伴或供应商管理公司数据,他们受到的审查比不管理公司数据的供应商更多。评估安全程序时,请记住业务目的。我会审查业务目的和涉及的信息类型,然后从该角度评估,而不是一视同仁地处理所有合作伙伴和供应商。当有疑问时,始终要求提供更多信息。

让我们为您联系Bird专家。
在30分钟内见证Bird的全部威力。

通过提交,您同意 Bird 可能会就我们的产品和服务与您联系。

您可以随时取消订阅。查看Bird的隐私声明以获取有关数据处理的详细信息。

Newsletter

通过每周更新到您的收件箱,随时了解 Bird 的最新动态。

让我们为您联系Bird专家。
在30分钟内见证Bird的全部威力。

通过提交,您同意 Bird 可能会就我们的产品和服务与您联系。

您可以随时取消订阅。查看Bird的隐私声明以获取有关数据处理的详细信息。

Newsletter

通过每周更新到您的收件箱,随时了解 Bird 的最新动态。

让我们为您联系Bird专家。
在30分钟内见证Bird的全部威力。

通过提交,您同意 Bird 可能会就我们的产品和服务与您联系。

您可以随时取消订阅。查看Bird的隐私声明以获取有关数据处理的详细信息。

R

Reach

G

Grow

M

Manage

A

Automate

Newsletter

通过每周更新到您的收件箱,随时了解 Bird 的最新动态。